Anfang der 2010er Jahre präsentierte ein gemeinsames Team von Spezialisten der Stanford University, der University of Massachusetts, des Tor Project und SRI International die Ergebnisse ihrer Studie Möglichkeiten zur Bekämpfung der Zensur im Internet.
Wissenschaftler analysierten die damals existierenden Methoden zur Umgehung der Blockierung und schlugen eine eigene Methode namens Flash-Proxy vor. Heute werden wir über sein Wesen und seine Entwicklungsgeschichte sprechen.
Einführung
Das Internet war ursprünglich ein Netzwerk, das für alle Arten von Daten offen war, doch im Laufe der Zeit begannen viele Länder, den Datenverkehr zu filtern. Einige Staaten blockieren bestimmte Websites wie YouTube oder Facebook, während andere den Zugriff auf Inhalte verbieten, die bestimmte Materialien enthalten. Blockaden der einen oder anderen Art werden in Dutzenden von Ländern in verschiedenen Regionen eingesetzt, darunter auch in Europa.
Benutzer in Regionen, in denen die Blockierung angewendet wird, versuchen, diese mithilfe verschiedener Proxys zu umgehen. Es gibt mehrere Richtungen für die Entwicklung solcher Systeme; eine der Technologien, Tor, wurde während des Projekts verwendet.
Normalerweise stehen Entwickler von Proxy-Systemen zur Umgehung von Blockierungen vor drei Aufgaben, die gelöst werden müssen:
- Rendezvous-Protokolle. Das Rendezvous-Protokoll ermöglicht es Benutzern in einem gesperrten Land, kleine Mengen an Informationen zu senden und zu empfangen, um eine Verbindung mit einem Proxy herzustellen. Im Fall von Tor wird beispielsweise Rendezvous verwendet, um die IP-Adresse von Tor-Relays (Brücken) zu verteilen. Solche Protokolle werden für Datenverkehr mit niedriger Rate verwendet und sind nicht so leicht zu blockieren.
- Erstellen eines Proxys. Systeme zur Überwindung von Blockierungen erfordern Proxys außerhalb der Region mit gefiltertem Internet, um den Datenverkehr vom Client zu den Zielressourcen und zurück zu übertragen. Blockorganisatoren reagieren möglicherweise, indem sie Benutzer daran hindern, die IP-Adressen von Proxyservern zu erfahren, und diese blockieren. Um solchem entgegenzuwirken Der Proxy-Dienst muss in der Lage sein, ständig neue Proxys zu erstellen. Die schnelle Erstellung neuer Proxys ist der Kern der von den Forschern vorgeschlagenen Methode.
- Tarnung. Wenn ein Client die Adresse eines nicht blockierten Proxys erhält, muss er seine Kommunikation mit diesem irgendwie verbergen, damit die Sitzung nicht mithilfe von Tools zur Verkehrsanalyse blockiert werden kann. Es muss als „normaler“ Datenverkehr getarnt werden, beispielsweise als Datenaustausch mit einem Online-Shop, Online-Spielen usw.
In ihrer Arbeit schlugen Wissenschaftler einen neuen Ansatz zur schnellen Erstellung von Proxys vor.
Wie funktioniert das
Die Kernidee besteht darin, mithilfe mehrerer Websites eine große Anzahl von Proxys mit einer kurzen Lebensdauer von nur wenigen Minuten zu erstellen.
Dazu entsteht ein Netzwerk aus kleinen Seiten, die von Freiwilligen betrieben werden – etwa die Homepages von Nutzern, die außerhalb der Region mit Internetsperre wohnen. Diese Websites sind in keiner Weise mit den Ressourcen verknüpft, auf die der Benutzer zugreifen möchte.
Auf einer solchen Site ist ein kleines Abzeichen installiert, bei dem es sich um eine einfache, mit JavaScript erstellte Schnittstelle handelt. Ein Beispiel für diesen Code:
<iframe src="//crypto.stanford.edu/flashproxy/embed.html" width="80" height="15" frameborder="0" scrolling="no"></iframe>So sieht das Abzeichen aus:
Wenn ein Browser von einem Standort außerhalb der gesperrten Region eine solche Site mit einem Badge erreicht, beginnt er, Datenverkehr in diese Region und zurück zu übertragen. Das heißt, der Browser des Website-Besuchers wird zu einem temporären Proxy. Sobald dieser Benutzer die Site verlässt, wird der Proxy spurlos zerstört.
Dadurch ist es möglich, eine Leistung zu erzielen, die zur Unterstützung des Tor-Tunnels ausreicht.
Zusätzlich zu Tor Relay und dem Client benötigt der Benutzer drei weitere Elemente. Der sogenannte Facilitator, der Anfragen des Kunden entgegennimmt und diese mit dem Proxy verbindet. Die Kommunikation erfolgt über Transport-Plugins auf dem Client (hier). ) und Tor-Relay wechselt von WebSockets zu reinem TCP.
Eine typische Sitzung mit diesem Schema sieht folgendermaßen aus:
- Der Client führt Tor aus, einen Flash-Proxy-Client (Browser-Plugin), und sendet mithilfe des Rendezvous-Protokolls eine Registrierungsanfrage an den Moderator. Das Plugin beginnt, die Remote-Verbindung abzuhören.
- Der Flash-Proxy erscheint online und kontaktiert den Moderator mit der Bitte, sich mit dem Kunden zu verbinden.
- Der Moderator sendet die Registrierung zurück und übergibt die Verbindungsdaten an den Flash-Proxy.
- Der Proxy stellt eine Verbindung zu dem Client her, dessen Daten an ihn gesendet wurden.
- Der Proxy verbindet sich mit dem Transport-Plugin und dem Tor-Relay und beginnt mit dem Datenaustausch zwischen dem Client und dem Relay.
Die Besonderheit dieser Architektur besteht darin, dass der Client im Voraus nie genau weiß, wo er eine Verbindung herstellen muss. Tatsächlich akzeptiert das Transport-Plugin eine gefälschte Zieladresse nur, um nicht gegen die Anforderungen von Transportprotokollen zu verstoßen. Diese Adresse wird dann ignoriert und ein Tunnel zu einem anderen Endpunkt – dem Tor-Relay – erstellt.
Abschluss
Das Flash-Proxy-Projekt wurde mehrere Jahre lang entwickelt und 2017 stellten die Entwickler die Unterstützung ein. Der Projektcode ist verfügbar unter . Flash-Proxys wurden durch neue Tools zur Umgehung der Blockierung ersetzt. Eines davon ist das Snowflake-Projekt, das auf ähnlichen Prinzipien basiert.
Source: habr.com